Um exploit de prova de conceito (PoC) para uma grave vulnerabilidade de execução remota de código (RCE) no Progress WhatsUp Gold foi divulgado, tornando essencial que administradores instalem as atualizações de segurança mais recentes sem demora.
Exploit crítico no WhatsUp Gold exige atualização imediata
Identificada como CVE-2024-8785, essa falha crítica possui pontuação 9.8 no CVSS v3.1 e foi descoberta pela Tenable em agosto de 2024. A vulnerabilidade afeta versões do WhatsUp Gold até 2023.1.0 e anteriores à 24.0.1.
O problema está relacionado ao processo NmAPI.exe, responsável por gerenciar a interface de API do software. A validação insuficiente de dados recebidos permite que invasores não autenticados enviem requisições maliciosas, manipulando registros críticos do Windows.
Como funciona o ataque
Os atacantes podem explorar a operação UpdateFailoverRegistryValues via conexão netTcpBinding no endereço net.tcp://<target-host>:9643. Com isso, conseguem alterar ou criar valores no registro em:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Ipswitch\Por exemplo, eles podem redirecionar o valor InstallDir para um compartilhamento de rede UNC controlado pelo invasor, como \\<attacker-ip>\share\WhatsUp. Quando o serviço Ipswitch Service Control Manager é reiniciado, o software carrega arquivos de configuração do local comprometido, permitindo a execução de código remoto no sistema.
Esse tipo de ataque não apenas compromete o sistema, mas também oferece alta persistência, já que os invasores podem alterar chaves de inicialização para executar código malicioso automaticamente.
Notícias Relacionadas
Crise cibernética
Stoli Group pede falência nos EUA após ataque cibernético e confisco de ativos
Após um ataque de ransomware que paralisou suas operações e o confisco de ativos na Rússia, o Stoli Group pediu falência nos EUA, enfrentando uma crise financeira e jurídica.
Risco criminal
Redes sociais atraem "money mules", colocando usuários em risco de prisão e bloqueio bancário
Instagram e TikTok estão sendo usados por criminosos para recrutar "money mules", com risco de prisão e bloqueio de contas bancárias.
Riscos recentes e recomendações
Essa exploração, que não exige autenticação, coloca as redes corporativas em grande risco, especialmente porque o serviço NmAPI.exe é acessível pela rede.
A Progress Software lançou em 24 de setembro de 2024 atualizações para corrigir o CVE-2024-8785 e outras cinco vulnerabilidades, disponibilizando um boletim com instruções detalhadas de instalação. Administradores devem atualizar para a versão 24.0.1 imediatamente.
Nos últimos meses, o WhatsUp Gold tem sido alvo recorrente de ataques:
- Agosto de 2024: hackers exploraram falhas RCE para obter acesso inicial às redes corporativas.
- Setembro de 2024: foram usadas vulnerabilidades de injeção de SQL para controle de contas administrativas.
Considerando o histórico recente de explorações, é crucial priorizar a aplicação das correções disponíveis para proteger sua rede contra possíveis compromissos.
